Microsoft Exchange Server SSRF权限提升漏洞 (CVE-2018-8581) 通告

文档信息

编号

360TI-SV-2018-031

关键字

CVE-2018-8581 Microsoft Exchange Server SSRF

发布日期

2018年12月31日

更新日期

2018年12月31日

TLP

WHITE

分析团队

360威胁情报中心

通告背景

2018年11月13日，Microsoft MSRC发布了一个Microsoft Exchange Server漏洞通告，涉及Microsoft Exchange Server中存在一处漏洞。利用此漏洞最低限度可以导致越权访问任意Exchange用户的邮件信息，结合特定的场景和其他安全问题可能实现权限提升，对应的漏洞编号为CVE-2018-8581。

2018年12月19日，安全厂商发布该漏洞细节及验证代码，同日，Github上也流传出了针对该漏洞改良版的漏洞利用代码。目前，漏洞相关的技术细节和利用程序已经完全公开，360威胁情报中心验证可用。

鉴于此漏洞影响大多数Microsoft Exchange Server，而且邮件服务器是企业内部非常重要的信息系统，存储和交换大量敏感信息，因此对组织的数据安全构成巨大的现实威胁。目前微软还未对此漏洞发布相关的安全补丁，但提供了一个临时解决方案，360威胁情报中心发布此通告提醒受影响用户和组织采取必要的应对措施以降低受攻击的风险，同时监控异常的Exchange活动。

漏洞概要漏洞名称 Microsoft Exchange Server SSRF权限提升漏洞威胁类型权限提升威胁等级漏洞 ID CVE-2018-8581 漏洞利用条件 Microsoft Exchange Server在受影响版本内，且开启了Exchange Web Service(EWS) 漏洞利用场景攻击者需有合法Exchange邮箱账户，发动攻击时只需向Exchange Server所属的主机发送精心构造的恶意数据包，触发漏洞向受害者邮箱中添加入站(inbond)规则。随后受害者的所有入站(inbond)电子邮件都将转发给攻击者。服务是否默认开启：是受影响系统及应用版本

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

漏洞描述

该漏洞实质是由SSRF （Server-Side Request Forgery：服务器端请求伪造）漏洞和其他通信机制相结合造成的。Exchange允许任何用户为推送订阅指定所需的URL，服务器将尝试向这个URL发送通知，漏洞存在于Exchange服务器使用CredentialCache.DefaultCredentials进行连接的场景。

现实利用场景中攻击者只需拥有合法Exchange邮箱账户，只要向Exchange Server所在的主机发送精心构造的恶意数据包，触发漏洞导致向受害者邮箱中添加入站(inbond)规则，之后受害者的所有入站(inbond)电子邮件都将转发给攻击者。由于攻击发生在攻击者和服务器之间，故大多数情况下受害者几乎是无感知的。

在Exchange Web Service(EWS)中，CredentialCache.DefaultCredentials运行在NT AUTHORITY\SYSTEM权限之上。这将导致Exchange Server向攻击者的服务器发送NTLM散列。允许使用这些NTLM散列来进行HTTP身份验证。

如下图：